Ohjeet tietosuojakäytäntöjen dokumentointiin
Tietosuojakäytäntöjen dokumentointi on yksi asetuksen pakollisista velvoitteista, ja monille se kaikkein vaikein. Organisaation sisäiset asiakirjat ovat kuitenkin tärkein todiste, kun valvontaviranomainen vaatii näyttöä lakien noudattamisesta. Miten sitten laadit asetuksen mukaisen dokumentaation? Keräsimme kohta kohdalta ohjeet. Ne sopivat niin toimintaa aloittavalle yritykselle kuin tietosuojadokumentaation päivittämiseen.
Tietosuojadokumentaation laatiminen on monivaiheinen prosessi. Siinä pitää ottaa huomioon kaikki mikä vähäkin liittyy henkilötietojen käsittelyyn. Ja käytännössä aina organisaatioiden toiminta liittyy henkilötietoihin. Tietosuoja-asetus ja –laki määrittelevät tarkasti mitkä asiat on kartoitettava ja kirjattava ylös. Silti voi käydä niin, että jotain unohtuu. Tämän listan avulla pysyt kärryillä dokumentoinnin vaiheista. P.s. Käytämme tietosuojapalveluissamme esitäytettyjä sähköisiä lomakkeita, joilla tietosuojakartoitus ja -päivitys sujuvat ripeästi. Jos uskot, että selviät mittavasta urakasta omin voimin, muista seuraavat asiat.
1. Huomioi, mitä tietosuojadokumentaatiolta vaaditaan
Dokumentaation laajuus ja millaisia pykäliä sovelletaan, riippuu pitkälti yrityksesi koosta, toimialasta, oletko työnantaja ja miten paljon käsittelette erityisiä henkilötietoryhmiä (arkaluonteisia ja salassa pidettäviä tietoja). Isommissa organisaatioissa tehdään kattava, raporttimuotoinen Seloste käsittelytoimista ja julkisia tietosuoja- ja rekisteriselosteita voidaan tarvita useita. Pk-yrityksille riittää yleensä pienimuotoisempi seloste käsittelystä, johon kuuluvat:
- Tietosuojaselvitys, jossa eritellään henkilötietoja sisältävät rekisterit, henkilötietojen käsittelyprosessit ja käsittelyn oikeusperiaatteet asetuksen pykälien mukaan
- Ohjeistus henkilöstölle (tietosuojapolitiikka), jossa kerrotaan kuka ja millaisin ehdoin henkilötietoja käsittele
- Tietoturvaselvitys (tietoturvapolitiikka), johon kootaan järjestelmien, ohjelmien, laitteiden, toimitilojen, ajoneuvojen ym. turvallisuusratkaisut ja henkilöstöä koskevat ohjeet tietoturvan varmistamiseksi
- Taulukko tietoturvaloukkausten kirjaamiseen
- Ohjeet, joiden mukaan tietoturvaloukkausten sattuessa toimitaan
- Salassapitosopimukset henkilötietoja käsittelevien työntekijöiden kanssa
- Yhteistyö- ja palvelusopimusten tietosuojaliitteet
- Julkiset tietosuoja- ja rekisteriselosteet
Muut, paitsi tietosuoja- ja rekisteriselosteet, ovat luottamuksellisia asiakirjoja. Ne on tarkoitettu vain henkilöstön omaan käyttöön ja esitettäväksi tarkastuksia tekeville viranomaisille.
2. Muista toimialan vaikutus
Yrityksen kokoa enemmän dokumentaation laajuuteen vaikuttaa toimiala. Vuokratyö- ja muussa HR-toiminnassa sekä sosiaali- ja terveyspalveluissa pienetkin organisaatiot joutuvat tekemään enemmän tietosuojan eteen. Näillä aloilla käsitellään paljon erityisiin henkilötietoryhmiin kuuluvia tietoja, kuten terveydentila, etninen tai sosiaalinen tausta, palkka ja toimeentulo, sairauspoissaolot tai ammattiliittoon kuuluminen. Erityistietoryhmät luokitellaan salassa pidettäviksi tai arkaluontoisiksi, joten niitä laajamittaisesti käsittelevän organisaation tulee nimittää tietosuojavastaava. Käytäntö koskee monia aloja. Tietosuojavastaavan nimeämisestä tarkemmin täällä.
3. Ota huomioon henkilötietojen laaja käsite
Mikä on henkilötieto? Kaikki sellainen tieto, josta luonnollinen henkilö voidaan suoran tai välillisesti tunnistaa. Mm. nimi, kotiosoite, sähköpostiosoite muodossa etunimi.sukunimi@…. , sosiaalisen median tunnus, puhelinnumero, matkapuhelimen paikannustiedot, verkossa olevan laitteen IP-osoite tai muu tunniste, auton rekisterinumero, potilastiedot, lemmikkieläintä koskevat eläinlääkäritiedot, kameravalvonnalla kerättävät tiedot.
4. Tee kartoitus tieto- ja henkilötietoryhmittäin
Henkilötietoryhmä tarkoittaa rekisterissä olevien tietojen luokittelua, kuten rekrytoitavat, työntekijät, asiakkaat, kumppanit, alihankkijat, palveluntarjoajat, tavarantoimittajat. Kun kartoitat, millaisia henkilötietoja organisaatiosi käsittelee tai tulee käsittelemään, se on helpointa tehdä henkilötietoryhmittäin. Tietoryhmät ovat esim. sähköpostiosoite, puhelinnumero, sotu jne.
5. Listaa mitä kautta saat henkilötiedot
Kirjaa ylös, mistä yrityksessäsi käsiteltävät henkilötiedot tulevat. Saatko ne verkkolomakkeilla, asiakaspalveluchatin kautta, sähköpostite, sosiaalisesta mediasta, messuilla arvontalipukkeilla, puhelimitse, muuta kautta.
Sillä, mitä kautta saat henkilötietoja, on vaikutusta kolmeen asiaan: 1) millaisia asetuksen mukaisia oikeusperusteita voit soveltaa henkilötietojen käsittelyyn, 2) miten rekisteröityjä pitää informoida, 3) miten hallinnoit suostumuksia ja kieltoja.
6. Ota mukaan kaikki rekisterit
Muista dokumentoinnissa yrityksen sähköpostissa, puhelimissa, ulkoisilla tallennusvälineillä säilytettävät henkilötiedot. Myös silloin, kun yritystoiminnassa hyödynnetään työntekijöiden omia laitteita. Samoin uutiskirjeiden tilaajalistat, jos säilytät niitä Mailchimpin -kaltaisessa postitusohjelmassa. Onko asiakkaiden, työntekijöiden jne. henkilötietoja sisältäviä asiakirjoja myös Googlen, Citrixin tai muiden palveluntarjoajien digitaalisissa ”varastoissa”? Huomioi sitten nämäkin.
7. Muista manuaaliset rekisterit
Tietosuojalait koskevat yhtä lailla manuaalisia henkilötietoja. Voi tulla yllätyksenä, että käyntikortit, työmaakortit, rakennus- ja projektipiirustukset, paperilaskut, tilaus- ja lähetyslistat, ilmoitustauluilla olevat aineistot jne. joissa on henkilön nimi tai muuta henkilötiedoksi luokiteltavaa, luetaan manuaalisiksi rekistereiksi.
8. Listaa oikeusperusteet henkilötietojen käsittelylle
Ennen kuin yrityksesi voi käsitellä henkilötietoja, pitää selvittää käsittelyn oikeusperusteet. Useimmiten peruste on työ- ja yhteistyösopimus tai suostumus, kuten uutiskirjeen tilaaminen tai molemmat. Asetuksen 6:ssa luvussa niitä on muitakin. Oikeusperusteena voi käyttää myös rekisterinpitäjän oikeutettua etua. Siihen turvaudutaan yleensä, kun käsittelylle ei löydy mitään muuta laillista syytä.
Kun henkilötietojen käsittely perustuu yksinomaan rekisterinpitäjän oikeutettuun etuun, tulee tehdä tasapainotesti, jolla arvioit onko yrityksesi etu ristiriidassa rekisterissä olevien henkilöiden etujen kanssa. Mikäli käsittelette laajamittaisesti arkaluontoisia, eli erityistietoryhmiä, tarvitaan myös vaikutuksenarviointi. Siinä punnitaan mahdolliset riskit, joita rekisterissä oleville voi tietoturvaloukkauksen sattuessa aiheutua. Tasapainotesti ja vaikutuksenarviointi tehdään nekin kirjallisena.
9. Muista tiedon elinkaari
Määritä aika henkilötietojen säilytykselle. Niitä ei saa säilyttää kauemmin kuin toiminnan kannalta välttämätöntä. Laita aikaraja, jonka kuluessa poistatte tarpeettomat tiedot kaikista rekistereistä. Jos pääasiallinen henkilötietorekisteri on pilvipalvelussa, varmista, että poistettavat tiedot tuhotaan pysyvästi myös pilvipalvelun varmuuskopioista. Älä unohda, että työaika- ja kirjanpitolaki vaikuttavat tietojen säilytysaikaan.
10. Muista oletusarvoinen tietosuoja
Asetuksen oletusarvoinen, sisäänrakennettu tietosuoja tarkoittaa, että henkilötietoja pitää käsitellä huolella ja suojata teknisin ja hallinnollisin keinoin. Asetuksessa luetellaan vähimmäiskeinot, joilla varmistetaan henkilötietojen luottamuksellisuus ja turvallinen käsittely. Tämä tiukentaa merkittävästi tietoturvalle asetettuja vaatimuksia. Lähtökohtana on, että toimitilojen, tietojärjestelmien, ohjelmistojen, laitteiden ja verkkoyhteyksien suojatasoa pitää arvioida riskiperusteisesti.
11. Laadi henkilöstölle tietosuoja- ja tietoturvaohjeistus
Kaikille tavalla tai toisella henkilötietojen käsittelyyn osallistuville tarvitaan kirjalliset ohjeet. Niillä minimoidaan inhimilliset ja tekniset riskit. Ohjeet ovat pakollinen osa sisäistä dokumentaatiota ja tarkoitettu vain henkilöstön omaan käyttöön. Asetuksessa suositellaan myös henkilöstön kouluttamista tietoturvauhkien varalle.
Hoidetaanko yrityksesi työaikaraportit ja projektihallinta toiminnanohjausjärjestelmällä (ERP) ja älypuhelimilla? Hyödynnätkö yritystoiminnassa työntekijöiden omia (BYOD – Bring Your Own Device) laitteita, kuten älypuhelimet tai kannettavat tietokoneet? Silloin yksityiskohtainen tietosuoja- ja tietoturvaohjeistus on erityisen tärkeä. Rekisterinpitäjänä yrityksellä on viime kädessä vastuu, jos jokin menee vikaan.
12. Tee lista tietoturvaloukkausten tyypeistä
Tietoturvaloukkaus on mikä tahansa tapahtuma, jossa ”rekisterissä olevia henkilötietoja vahingon tai lainvastaisen toiminnan seurauksena muutetaan, hävitetään, tuhotaan, varastetaan tai luovutetaan luvattomasti” tai jossa ”rekisterissä olevien henkilötietojen eheyttä ei pysytä takaamaan”.
Tietoturvaloukkausten tyyppejä on useita. Kyseessä voi olla ohjelmistovika, henkilötietoja sisältävän laitteen tai asiakirjan kadottaminen, arkaluontoisia henkilötietoja sisältävän sähköpostin lähettäminen väärälle henkilölle, murtautuminen yrityksen ajoneuvoon, tulipalo yrityksen toimitiloissa jne.
13. Valmistaudu ilmoitusvelvollisuuteen
Kirjaa ylös kaikki tietoturvaloukkaukset. Silloinkin, jos niistä ei aiheutunut rekisterissä oleville vahinkoa ja ongelma on korjattu. Kirjaamiseen voi käyttää Excel-taulukkoa. Laadi myös ohjeet miten yrityksen henkilöstö toimii tietoturvaloukkausten sattuessa. Nämäkin ovat asetuksen pakollisia velvoitteita.
Tietoturvaloukkauksen sattuessa henkilöstön ohjeistus ja kirjallinen merkintä tapahtumasta käyvät viranomaiselle todisteeksi, että yritys on ainakin yrittänyt estää vahingot.
Muista, että voit olla velvollinen ilmoittamaan tietoturvaloukkauksesta 72 tunnin sisällä. Tapauksesta riippuen ilmoitusvelvollisuus koskee joko rekisteröityjä, tai niiden lisäksi viranomaisia. Ps. Meiltä saat tietosuojapalvelujen yhteydessä mallitaulukon tietoturvaloukkausten merkitsemiseen ja kirjalliset ohjeet ongelmatapauksissa toimimiseen.
14. Turvaa selustasi
Onko yrityksessäsi oma IT-asiantuntija? Ellei ole, ulkoistettu palvelu on ehdoton. Tietoruvaloukkauksen sattuessa IT-asiantuntija selvittää ongelman syyt ja neuvoo toimenpiteet enempien vahinkojen välttämiseksi. Laajemman ongelman sattuessa hän tekee viranomaisia varten kirjallisen vaikutuksenarvioinnin rekisterissä oleville mahdollisesti aiheutuneista vahingoista.
Kybervakuutusten suosio on räjähtänyt ja sellainen kannattaa ottaa, jos rekistereissä on suuri määrä tietoja tai erityisiä henkilötietoryhmiä. Tietomurron sattuessa on vaarana, että niitä käytetään vahingollisiin tarkoituksiin. Mikäli näin käy ja rekisteröidyille aiheutuu mittaavaa haittaa, yritys voi varotoimista huolimatta juotua korvausvastuuseen. Silloin kybervakuutus turvaa selustasi.
15. Muista rekisteröityjen informointi
Asetus velvoittaa informoimaan työntekijöitä, asiakkaita ja muita rekisterissä olevia henkilötietojen käsittelyn käytännöistä. Yrityksen verkkosivuilla on julkaistava rekisteri- tai tietosuojaseloste (tietyillä toimialoilla molemmat), jossa käytännöt kerrotaan tiiviissä, helposti ymmärrettävässä muodossa. Nämä julkiset selosteet tehdään sisäisen dokumentaation pohjalta.
Keräättekö henkilötietoja messuilla tai muissa tapahtumissa? Vaihtelevatko henkilötietojen keräämisen tavat? Silloin tapahtumien osalta on laadittava tapauskohtaiset rekisteriselosteet.
Jos käytössä on Google Analytics tai muita dataa kerääviä ratkaisuja, täytyy kertoa evästeiden vaikutuksesta sivuilla vierailevien tietosuojaan. Pelkän Analyticsin evästeet voi mainita tietosuojaselosteessa. Mikäli sivuilla on sosiaalisen median painikkeita tai käytätte muita dataa kerääviä ratkaisuja, on järkevämpi tehdä erillinen evästeseloste.
16. Huomioi kieltojen ja suostumusten hallinta
Tietosuoja-asetus ei estä suoramarkkinointia yrityksille, sitä voi harrastaa entiseen tapaan. Yhteyshenkilöllä on kuitenkin oikeus kieltäytyä häneen kohdistuvasta markkinoinnista. Kieltojen ja suostumusten hallinta tarkoittaa, että kun henkilö kieltää tietojensa käytön markkinointiin tai antaa suostumuksen tietojensa käsittelyyn (soittaa ja antaa tietonsa, tilaa uutiskirjeen, täyttää verkkolomakkeen), niistä pitää jäädä mustaa valkoisella -merkintä. Uutis- tai tarjouskirjeen lopussa pitää olla selvästi havaittava linkki, jota kautta kirjeen tilauksen voi perua. Tekoälypohjaisissa markkinoinnin automaatiojärjestelmissä tällainen kielto tallentuu asiakastietojen yhteyteen. Tilanne on hankalampaa, jos käytössä ovat erilliset asiakkuushallinta- (CRM) ja uutiskirjeratkaisut.
Verkkopalveluissa suostumuksen saa rasti ruutuun -periaatteella. Manuaalisten aineistojen kohdalla suostumuksen voi ottaa samalla tavalla tai allekirjoituksella. Tärkeintä, että suostumuksesta jää todiste. Suullisesti tai puhelimitse saadusta suostumuksesta tarvitaan merkintä asiakasrekisteriin, oli se sitten sähköinen tai manuaalinen.
Muista, että rekisteröidyiltä tulee pyytää suostumusta etukäteen, mikäli aiotte käyttää heidän tietojaan muuhun tarkoitukseen, kuin mihin ne alun perin kerättiin. Esim. päätätte lähettää asiakkaille uutiskirjeitä, vaikka asiakkaat eivät ole uusikirjeitä tilanneet eivätkä siten antaneet suostumusta tietojensa käyttöön tähän tarkoitukseen.
17. Valmistaudu tietopyyntöihin
Tietosuoja-asetus antaa rekisterissä oleville koko joukon oikeuksia. Oikeudet vaihtelevat sen mukaan, miten olet heidän tietonsa saanut. Nämä kuitenkin pätevät kaikkiin:
- oikeus tietää, millaisia tietoja hänestä on yrityksesi rekisterissä ja mihin niitä käytetään
- oikeus korjata / oikaista tietoja
- oikeus saada tiedot nähtäväksi (rekisteriote)
- oikeus vastustaa ja rajoittaa henkilötietojen käsittelyä, kuten estää suoramarkkinointi
- oikeus pyytää henkilötietojen poistamista / siirtämistä toiseen rekisteriin (yritykseen)
- oikeus tehdä valitus valvontaviranomaiselle
Rekisterissä olevia varten tarvitaan yhteyshenkilö. Anna tehtävä työntekijälle, jolla on parhaat valmiudet vastata tietopyyntöihin ja pitää rekisterit ajan tasalla. Asetus velvoittaa antamaan rekisteriotteen ”koneellisesti luettavassa muodossa”. Useimmista ohjelmista ja järjestelmistä tiedot saa ulos ainakin CSV ja PDF-muodossa. Jos henkilötietoja on useammassa paikassa, sopikaa käytännöt tietojen yhdistämiseen.
18. Muista tietosuojalakien vaikutus sopimuksiin
Asetuksen myötä sopimuskäytännöt menivät monilta osin uusiksi. Kun luovutat yrityksesi hallussa olevia henkilötietoja muille tahoille, siitä pitää tehdä kirjallinen sopimus. Miten tietosuojalait vaikuttavat sopimuksiin, siitä tarkemmin täällä.
19. Huomioi milloin tietosuojadokumentaatiota tulee päivittää
Tietosuojadokumentaation päivittäminen kuuluu asetuksen pakollisiin velvoitteisiin. Päivitys on ajankohtainen, kun henkilötietojen käsittely yrityksessä muuttuu tai joudutaan muuttamaan. Niin käy esimerkiksi, mikäli:
- henkilötietojen käsittelyä ja tietosuojaa koskevat lait muuttuvat
- vaihdatte ohjelmistoja tai järjestelmää, joissa säilytetään ja käsitellään henkilötietoja
- siirrätte omalla palvelimella olevan henkilörekisterin pilveen tai pilvipalvelusta toiseen
- siirrätte henkilötietoja EU:n ja ETA-alueen ulkopuolelle
- viestintä- ja markkinointikanavat tai tietojen keräämisen menetelmät niissä muuttuvat
- otatte käyttöön markkinoinnin automaation, livechatin, chatbotin
- otatte käyttöön ryhmäviestisovelluksen projektityöhön asiakkaiden kanssa
- aloitatte kanta-asiakasohjelman
- avaatte verkkokaupan, uuden toimipaikan jne.
Yrityskaupoissa ja fuusiossa päivitystarve on itsestään selvä. Ainakin viimeistään silloin, kun pitkään valmisteltu EU:n sähköisen viestinnän tietosuoja-asetus ePrivacy astuu voimaan. Myös piakkoin alkavat GDPR-sertifioinnit pakottavat syynäämään dokumentaation tarkasti.
Millä mallilla tietosuoja on sinun organisaatiossasi? Pyydä meiltä arvio.
Katrin-Kristiina on toimitusjohtajamme, jolla on kahden vuosikymmenen kokemus digialalta. Hän kouluttaa ja konsultoi tietosuojan ja markkinoinnin automaation haltuunotossa.
Oliko jutusta hyötyä? Jaa se muille.
Tilaa digityöläisten sisäpiiritieto!